SSL Sertifikaları Doğru Nasıl Kurulur
3 Haziran 2026 tarihinde yayınlandı
Çalışan bir SSL kurulumu sadece “sertifikayı kur ve bitti” değildir. Sertifika alan adıyla eşleşmelidir, özel anahtar doğru sunucuda kalmalıdır, DNS düşündüğünüz yere işaret etmelidir ve web sunucunuz doğru ana bilgisayar adı için doğru sertifikayı sunmalıdır. SSL sertifikalarını sabaha karşı 2'de sürpriz yaşamadan nasıl kuracağınızı arıyorsanız, pratik yol budur.
SSL sertifikaları tahmine yer bırakmadan nasıl kurulur
Tek bir soruyla başlayın: tam olarak neyi güvence altına alıyorsunuz? example.com gibi tek bir alan adı, www.example.com, app.example.com ve shop.example.com içeren bir kurulumdan farklı bir sertifika kapsamına ihtiyaç duyar. Başta yanlış sertifika türünü seçerseniz, beş dakika sonra yeniden düzenlemek zorunda kalabilirsiniz; bu trajik değildir ama zarif de değildir.
Çoğu işletme için üç yaygın seçenek vardır. Tek alan adlı bir sertifika bir ana bilgisayar adını kapsar. Wildcard sertifika anything.example.com gibi alt alan adlarını kapsar, ancak özellikle dahil edilmedikçe kök alan adını her zaman kapsamaz. Çok alan adlı veya SAN sertifikası birkaç adlandırılmış ana bilgisayar adını kapsar. Doğru seçim, kulağa daha gelişmiş gelen şeye değil, gerçek trafik düzeninize bağlıdır.
Bir sonraki kontrol sahiplik doğrulamasıdır. Sertifika yetkilileri, alan adını kontrol ettiğinize dair kanıt ister. Bu genellikle HTTP doğrulaması, DNS doğrulaması veya bazen e-posta doğrulaması yoluyla olur. Web sitesi sunucuda zaten erişilebilirse, HTTP çoğu zaman en hızlı seçenektir. DNS, wildcard'lar ve web doğrulamasını karmaşık hâle getiren proxy'lerin, load balancer'ların veya hazırlık kurallarının arkasındaki ortamlar için daha güvenilirdir. Bu bazen en güzel DNS durumu değildir, ancak hangi yöntemin kurulum için uygun olduğunu biliyorsanız kontrol altındadır.
Herhangi bir şeyi yüklemeden önce sunucuyu hazırlayın
Bir CSR oluşturmadan veya otomatik kurulum düğmesine tıklamadan önce dört şeyi doğrulayın. Alan adı doğru genel IP'ye çözülmelidir. Güvenlik duvarında 80 ve 443 numaralı bağlantı noktaları açık olmalıdır. Web sunucusu, alan adı için hangi virtual host veya server block'un yanıt vereceğini zaten biliyor olmalıdır. Ve sunucudaki sistem saati doğru olmalıdır, çünkü SSL ile yanlış zamanın eski bir husumeti vardır.
Nginx veya Apache çalıştırıyorsanız, önce mevcut site yapılandırmasını kontrol edin. Bir sertifika tamamen geçerli olabilir ve yine de web sunucusu aynı makinedeki başka bir siteden varsayılan sertifikayı gönderirse tarayıcıda başarısız olabilir. Bu, birden fazla alan adı barındıran VPS düğümlerinde özellikle yaygındır. SNI bunu çözer, ancak yalnızca vhost eşlemesi doğruysa.
Ayrıca manuel sertifika yönetimi mi yoksa otomatik yenileme mi istediğinize de karar vermelisiniz. Manuel yöntem, az değişen tek bir ortam için kabul edilebilir olabilir, ancak operasyonel risk oluşturur. Çoğu ekip yenilemeleri bilerek unutmaz. Unuturlar çünkü son kullanma tarihlerini kollamak yerine gelir üreten işler yapmakla meşguldürler.
Sertifika isteğini doğru şekilde oluşturun
Kontrol paneliniz bunu hallediyorsa, onu kullanın. Aksi takdirde, sertifikanın barınacağı sunucuda bir özel anahtar ve CSR oluşturun. Özel anahtar e-postayla etrafa gönderilmemeli, ortak sohbete bırakılmamalı veya rastgele dizüstü bilgisayarlara kopyalanmamalıdır. Kayıtlar her seferinde aynı hikâyeyi anlatır - anahtar yönetimi birinin kötü bir hafta geçirmesinden hemen önce gevşer.
CSR doğru common name'i ve gerekli tüm subject alternative name'leri içermelidir. Modern tarayıcılar için SAN girdileri eski common name alanından daha önemlidir. Hem example.com hem de www.example.com gerekiyorsa, ikisinin de dahil edildiğinden emin olun. Bir ana bilgisayar adının eksik olması, “bende çalışıyor, müşterilerde çalışmıyor” karmaşasının klasik bir kaynağıdır.
Otomatik düzenleme için ACME istemcileri gibi araçlar bu adımı sizin yerinize yönetir. Anahtar oluşturabilir, doğrulamayı tamamlayabilir, sertifikaları yükleyebilir ve yenilemeleri planlayabilirler. Bu, özellikle çalışma süresi ve tekrarlanabilirliğin manuel törensellikten daha önemli olduğu birçok VPS ve yönetilen barındırma ortamı için en temiz yoldur.
SSL sertifikasını web sunucunuza yükleyin
Sertifika düzenlendikten sonra, sertifika dosyasını gerekli ara paket ve eşleşen özel anahtarla birlikte yükleyin. Tam dosya yolları ve yönergeler web sunucusuna bağlıdır.
Nginx'te sertifikayı ve anahtarı 443 numaralı bağlantı noktası için server block içinde tanımlarsınız. Apache'de sertifika dosyasını, anahtar dosyasını ve zinciri ilgili VirtualHost içinde yapılandırırsınız. Bir kontrol paneli kullanıyorsanız, panel bu değerleri sizin için yerleştirip yapılandırmayı otomatik olarak yeniden oluşturabilir.
Yüklemeden sonra, bir neden yoksa sert bir yeniden başlatma yapmak yerine web sunucusunu nazikçe yeniden yükleyin. Yeniden yükleme, kesintiyi en aza indirirken yeni sertifikayı uygular. Ardından sunucunun gerçekten ne sunduğunu doğrulayın, sunması gerektiğini düşündüğünüz şeyi değil. Tarayıcılar agresif biçimde önbelleğe alır ve reverse proxy'ler hataları sağlıklı olandan daha uzun süre gizleyebilir.
HTTPS'i körlemesine değil, dikkatlice zorlayın
Sertifika etkin olduktan sonra HTTP trafiğini HTTPS'e yönlendirin. Bu standarttır, ancak zamanlama önemlidir. Sertifika geçerli olmadan ve doğru şekilde sunulmadan önce HTTPS'i zorlamayın; aksi takdirde tarayıcı uyarılarına giden hızlı bir yol oluşturursunuz.
HTTP'den HTTPS'e bir 301 yönlendirmesini ya web sunucusu düzeyinde ya da uygulama katmanında ayarlayın, ancak bir nedeniniz yoksa ikisini üst üste kullanmaktan kaçının. Çok fazla yönlendirme kuralı döngüler, karışık ana bilgisayar adları veya ortamlar arasında değişen davranışlar oluşturur. Basit tutun.
Site eski HTTP URL'lerinden varlıklar kullanıyorsa, bunları güncelleyin. Karma içerik uyarıları, sayfa HTTPS üzerinden yüklenirken script'leri, görselleri, font'ları veya stil sayfalarını HTTP üzerinden çektiğinde oluşur. Sertifika mükemmel olabilir ve yine de asma kilit mutsuz görünebilir. Özellikle e-ticaret ödeme sayfaları ve SaaS panoları yalnızca ana sayfada değil, sayfa sayfa kontrol edilmelidir.
Kurulumu şansa güvenmeyen biri gibi test edin
Siteyi bir tarayıcıda açın ve sertifika ayrıntılarını inceleyin. Ana bilgisayar adının eşleştiğini, geçerlilik tarihlerinin doğru olduğunu ve tam zincirin sunulduğunu doğrulayın. Ardından mümkünse komut satırından test edin. Sunucunun istenen ana bilgisayar adı için tam olarak hangi sertifikayı döndürdüğünü görmek istersiniz.
Yüklemeden sonra şu pratik noktaları kontrol edin:
- Kök alan adı ve www sürümü beklendiği gibi çalışıyor
- Sertifika zinciri eksiksiz
- HTTP, HTTPS'e bir kez yönlendiriyor, üç kez değil
- Web sunucusu her ana bilgisayar adı için amaçlanan sertifikayı sunuyor
- Yenileme yapılandırılmış ve gerçekten planlanmış
Bir CDN veya reverse proxy kullanıyorsanız, sertifikanın doğru yerde bulunduğundan emin olun. Bazı kurulumlar SSL'yi proxy'de sonlandırır ve ardından origin'e düz HTTP gönderir. Diğerleri hem proxy'de hem de origin'de sertifikalarla uçtan uca şifreleme kullanır. Hiçbiri evrensel olarak doğru veya yanlış değildir. Bu, güvenlik modelinize, iç ağ güvenine ve uygulama ihtiyaçlarına bağlıdır.
Yaygın SSL sorunları ve genellikle ne anlama geldikleri
Bir tarayıcıdaki ana bilgisayar adı uyuşmazlığı uyarısı genellikle yanlış sertifikanın sunulduğu anlamına gelir; çoğu zaman bunun nedeni isteği varsayılan vhost'un yakalamasıdır. “Eksik zincir” uyarısı, ara sertifikaların eksik olduğu anlamına gelir. Süresi dolmuş bir sertifika barizdir, yine de bir şekilde hâlâ popülerdir. Doğrulama hataları genellikle hedeflenen sunucuyla eşleşmeyen DNS kayıtlarına, DNS katmanındaki önbelleklemeye veya HTTP challenge isteklerini engelleyen bir güvenlik duvarına işaret eder.
Yenileme hataları özel dikkat gerektirir. Otomatik SSL'ye güveniyor ve daha sonra DNS'i değiştiriyor, bir proxy ekliyor veya güvenlik duvarı kurallarını sıkılaştırıyorsanız, yenileme yolu sessizce bozulabilir. İlk kurulum çalıştı, herkes rahatladı ve altmış gün sonra sorun kötü bir zamanlamayla geri döndü. Bu yüzden üretimde sertifika süresinin dolmasını izlemek isteğe bağlı değildir. Bu, temel operasyonel hijyendir.
Yönetilen ve kendi kendine yönetilen SSL kurulumu karşılaştırması
Kendi yığınınızı çalıştırıyorsanız, SSL'yi manuel olarak kurmak size tam kontrol sağlar. Doğrulama yöntemini, anahtar depolamayı, şifreleme takımı ilkesini, yönlendirme davranışını ve dağıtım sürecini siz seçersiniz. Bu, özel altyapılar, kümelenmiş hizmetler veya sıkı uyumluluk ortamları için kullanışlıdır.
Bunun karşılığında operasyonel sorumluluk gelir. Birinin yenilemeleri izlemesi, başarılı yeniden düzenlemeyi doğrulaması ve doğrulamayı bozan değişiklikleri yakalaması gerekir. Zaten beş farklı rol üstlenen küçük ekipler, ajanslar ve kurucular için SSL otomasyonuna sahip yönetilen barındırma çoğu zaman daha sakin seçenektir. İyi bir platform, altta yatan sunucu davranışını gizlemeden tekrarlayan işleri ortadan kaldırır. kodu.cloud'da genellikle durum budur - daha az stres, ama yine de yeterli kontrol.
Uzun vadeli istikrar için SSL sertifikaları nasıl kurulur
Kurulum yalnızca ilk adımdır. Kararlı kurulum; otomatik yenilemeyi, sona erme izlemeyi, net vhost eşlemelerini ve DNS veya proxy değişikliklerinden sonra SSL'yi yeniden kontrol etme alışkanlığını içerir. Site iş açısından kritikse, sertifika durumunu yedeklemelere ve çalışma süresi uyarılarına davrandığınız şekilde ele alın. Sessiz sistemler iyi sistemlerdir.
Özel anahtarlarınızı koruyun, mümkün olan yerlerde yenileme sürecinizi otomatik tutun ve doğrulama yönteminizi trafiğin sunucunuza gerçekte nasıl ulaştığıyla uyumlu tutun. Bundan sonra hizmet yeniden sakinse, doğru yaptınız.
Andres Saar Müşteri Hizmetleri Mühendisi